Но я не враг твой, я твой друг…
Стой, где очерчен мелом круг!
«Ария»
У меня было счастливое детство. До четырнадцати лет я прожил в квартире, в которой не было замка на двери. То есть совсем. Сходным образом защищали своё имущество половина соседей, а другая половина писала своим супругам и отпрыскам записки вида «Лёша, ключ в почтовом ящике/ под ковриком/ у соседей на вешалке». Сильно подозреваю, что замки ими ставились для защиты от сквозняков, которые открывали неплотно пригнанные двери. Возможно, с тех пор я сохранил некую детскую наивность и «неправильный» взгляд на вещи, казалось бы очевидные.
Представьте себе, что я остался жить в том мифическом мире (а он мифический, я проверял, там сейчас такие же железные двери как в столицах, а скоро и домофоны будут) лет так до двадцати пяти – сорока. И убедите этого сорокалетнего балбеса в том, что контору, в которой он работает, следует запирать. Скорее всего, на словах он с вами согласится. И даже попытается заучить инструкцию по запиранию замка и установке на сигнализацию… Но на автомате это делать не будет. А в тёплой дружеской компании таких же, как он – будет смеяться, или возмущаться вашей паранойе. Ничего не напоминает? Например, текущего отношения сотрудников к защите информации?
Вот здесь мы находим первую проблему информационной безопасности. Человек, не готовый и не способный защищать свою информацию – не готов и не способен защищать и чужую.
Его нужно научить. Как? Есть хорошая притча про персональную страничку с зарплатой главбуха. Не могу не согласиться с тем, что главбуха и прочих топ-менеджеров этот случай кое-чему научил. Прочих пользователей? Сомневаюсь. Когда мифические времена почти прошли – я работал на маленьком металлургическом заводе. Месячная зарплата указывалась в табелеграмме, такой маленькой распечатке на плохой бумаге, за которой следовало прийти в бухгалтерию. В теории – бумажки лежали в порядке табельных номеров, на практике – насыпом. И в процессе поиска нужных нескольких (забирали не только свои, но и всей бригады) – можно было ознакомиться с зарплатой на прочих участках, а также с зарплатой руководства. Затем, когда зарплата начальника цеха стала плавно приближаться к суммарной зарплате остального цеха – табелеграммы руководства внезапно стали коммерческой тайной. А чуть позже – и табелеграммы рядовых работников. Но если в отношении первых тайна хоть примерно соблюдалась, то в отношении вторых это до сих пор является тайной только на бумаге.
Вот здесь мы видим вторую проблему информационной безопасности. Текущие политики информационной безопасности являются инструментом защиты меньшинства.
Что косвенно подтверждается тем фактом, что психологический портрет «информационного» преступника сильно отличается от прочих уголовников и практически неотличим от портрета «нормального законопослушного гражданина». Что, кстати, автоматически переводит «защитника» информации в разряд противников «нормального законопослушного гражданина». (Интересно, кстати, было бы ознакомиться с психологическим портретом «защищаемого). Многие сотрудники инфобезопасности логически или интуитивно понимают это, а потому обосновывают своё нежелание учить пользователя фразами почти из «Обитаемого Острова»:
Представьте себе, что я остался жить в том мифическом мире (а он мифический, я проверял, там сейчас такие же железные двери как в столицах, а скоро и домофоны будут) лет так до двадцати пяти – сорока. И убедите этого сорокалетнего балбеса в том, что контору, в которой он работает, следует запирать. Скорее всего, на словах он с вами согласится. И даже попытается заучить инструкцию по запиранию замка и установке на сигнализацию… Но на автомате это делать не будет. А в тёплой дружеской компании таких же, как он – будет смеяться, или возмущаться вашей паранойе. Ничего не напоминает? Например, текущего отношения сотрудников к защите информации?
Вот здесь мы находим первую проблему информационной безопасности. Человек, не готовый и не способный защищать свою информацию – не готов и не способен защищать и чужую.
Его нужно научить. Как? Есть хорошая притча про персональную страничку с зарплатой главбуха. Не могу не согласиться с тем, что главбуха и прочих топ-менеджеров этот случай кое-чему научил. Прочих пользователей? Сомневаюсь. Когда мифические времена почти прошли – я работал на маленьком металлургическом заводе. Месячная зарплата указывалась в табелеграмме, такой маленькой распечатке на плохой бумаге, за которой следовало прийти в бухгалтерию. В теории – бумажки лежали в порядке табельных номеров, на практике – насыпом. И в процессе поиска нужных нескольких (забирали не только свои, но и всей бригады) – можно было ознакомиться с зарплатой на прочих участках, а также с зарплатой руководства. Затем, когда зарплата начальника цеха стала плавно приближаться к суммарной зарплате остального цеха – табелеграммы руководства внезапно стали коммерческой тайной. А чуть позже – и табелеграммы рядовых работников. Но если в отношении первых тайна хоть примерно соблюдалась, то в отношении вторых это до сих пор является тайной только на бумаге.
Вот здесь мы видим вторую проблему информационной безопасности. Текущие политики информационной безопасности являются инструментом защиты меньшинства.
Что косвенно подтверждается тем фактом, что психологический портрет «информационного» преступника сильно отличается от прочих уголовников и практически неотличим от портрета «нормального законопослушного гражданина». Что, кстати, автоматически переводит «защитника» информации в разряд противников «нормального законопослушного гражданина». (Интересно, кстати, было бы ознакомиться с психологическим портретом «защищаемого). Многие сотрудники инфобезопасности логически или интуитивно понимают это, а потому обосновывают своё нежелание учить пользователя фразами почти из «Обитаемого Острова»:
- Образованный выродок - это выродок в квадрате, - сказал Гай
поучающе. - Как выродок, он нас ненавидит. А образование помогает ему эту
ненависть обосновать и распространить. Образование - это, дружок, тоже не
всегда благо. Это как автомат - смотря в чьих руках...
- Образование - всегда благо, - убежденно сказал Мак.
- Ну уж нет. Я бы предпочел, чтобы хонтийцы все были необразованные.
То есть третья проблема информационной безопасности – психологическая неготовность имеющих инструмент защиты – поделиться им.
Возможно – вполне обоснованная. Способный защитить свою информацию от «внешнего врага» вполне может оказаться способным защитить её и от «внутреннего друга». Что является четвёртой и последней проблемой информационной безопасности. Круг замкнулся.
Мы не можем обеспечить сохранность информации, пока не научим и не приучим конечных пользователей, пользователей… и не сможем, когда научим и приучим.
Возвращаясь к теме статьи – конструктивные предложения должны давать способ разорвать этот порочный круг. Более того – разорвать его средствами, не предполагающими мировую революцию или военный переворот в отдельно взятой стране. А вполне себе доступные отдельным компаниям, специализирующимся в вопросе. Ну, или хотя бы синдикату из этих компаний, которые де-факто являются стратегическими союзниками. К сожалению, у меня таких предложений нет. Пока нет.
Александр Ерощев
специалист по информационной безопасности компании SearchInform
Александр Ерощев
специалист по информационной безопасности компании SearchInform
Комментариев нет:
Отправить комментарий